Boletín N° 96 • Habeas Data • mayo de 2008
Con el apoyo de la fundación
Objetivo del Observatorio Legislativo En el Instituto de Ciencia Política se considera que la efectiva participación ciudadana tiene como requisito esencial el acceso a una información adecuada y oportuna. Por este motivo, el Observatorio Legislativo busca: i) generar espacios donde diversos sectores puedan debatir y reflexionar sobre el contenido de los proyectos; ii) brindar información acerca del trámite de los principales proyectos que se discuten en el Congreso, y iii) contribuir con el debate generando propuestas que desde la sociedad civil enriquezcan los proyectos. El Observatorio Legislativo es un proyecto del Instituto de Ciencia Política apoyado económicamente por la Comunidad de Madrid, en su interés por promover proyectos que permitan el fortalecimiento institucional.
Hoja de vida del proyecto Nombre del proyecto: "Ley estatutaria por la cual se dictan las disposiciones generales del Habeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones". Número del proyecto de ley: 221 de 2007 Cámara y 027 de 2006 acumulado con el número 05 de 2006 Senado. Autor: Luis Fernando Velasco, Oscar Darío Pérez, Gina Parodi, Hernán Andrade, Héctor Helí Rojas, David Luna, y Alberto Carrasquilla, ministro de Hacienda y Crédito Público. Ponentes: Senado: L u i s F e r n a n d o Velasco; Rubén Darío Quintero; Gina Parody, Hernán Andrade, Gustavo Petro, Samuel Arrieta, Oscar Darío Pérez. Cámara: David Luna, Orlando Aníbal Guerra, Carlos Fernando Motoa, Miguel Ángel Rangel, Guillermo Rivera y Juan de Jesús Córdoba, Conciliadores: senador Oscar Darío Peréz y representante David Luna. Gaceta del Congreso: 246, 367, 642, 693 y 694 de 2006; 30, 72, 136, 184, 189, 247, 251, 261, 275, 307, 309 y 327 de 2007; 229 y 239 de 2008. Estado actual: Aprobado informe de conciliación en plenaria del Senado de la República, para subsanar vicio de procedimiento.
www.icpcolombia.org
Habeas Data Contexto
E l habeas data es un derecho de rango constitucional, fundamental y autónomo en virtud del cual todas las personas tienen la facultad de dar a conocer, actualizar y rectificar la información que les pertenece y se encuentra contenida en bancos de datos públicos o privados, con el objeto de defender los derechos a la honra, la intimidad y el buen nombre. También ha sido entendido como un instrumento para controlar la calidad de la información contenida en bancos de datos, corregir o eliminar los datos erróneos o desactualizados, y decidir sobre la posible transmisión de estos a terceros. Este derecho ha adquirido gran importancia especialmente para el sector financiero y crediticio, en la medida en que la verificación de este tipo de datos personales se ha convertido en paso obligatorio para los usuarios del sistema financiero, como lo es en la obtención de créditos. Sin embargo, a pesar de su relevancia, el país no cuenta hoy con la regulación necesaria en materia de protección y utilización de datos personales, y sólo es amparado a través de tutelas y derechos de petición. Por este motivo, en el año 2006 fue radicado en el Senado un proyecto de ley estatutaria que busca regular el derecho al habeas data y de esta manera fijar las directrices que permitan un ejercicio responsable de este derecho, aplicable no sólo en el sector financiero sino en los demás sectores que
requieran la utilización de datos personales. El proyecto contempla una serie de derechos y deberes que deben cumplir tanto los dueños de los datos personales como las fuentes, operadores y usuarios de información. También incluye normas relacionadas con los criterios y tiempos de permanencia de la información en los bancos de datos; causales, procedimientos e instancias para la interposición de peticiones, consultas y reclamos, y funciones específicas de control y vigilancia para la Superintendencia de Industria y Comercio, entre otros temas. Luego de un discutido trámite por el Congreso de la República, el proyecto de ley fue aprobado y enviado para control previo de constitucionalidad a la Corte Constitucional tal como lo exige el trámite de las leyes estatutarias. Sin embargo, en esta revisión, la Corte, mediante auto 081 de 2008, determinó que la ley contenía vicios en el procedimiento, ocurridos durante el debate en plenaria en la Cámara de Representantes, debido a que se anunció discusión y votación del proyecto para una fecha pero se realizó en otra. Al ser este vicio subsanable, la Corte ordenó el envío del proyecto al Congreso para su corrección. El proyecto ya fue conciliado y aprobado por las dos cámaras y está pendiente de la firma del oficio remisorio por parte de la presidenta del Congreso. Cabe recordar que el Congreso tiene hasta el 20 de junio de 2008 para subsanar el vicio y enviar nuevamente el proyecto a la Corte para que esta decida de fondo sobre su constitucionalidad.
Los grandes temas del proyecto 1.
2.
Objeto
Desarrollar el derecho constitucional de habeas data en virtud del cual todas las personas tienen derecho a conocer, actualizar y rectificar la información que sobre ellas se encuentre en los bancos de datos de entidades públicas o priva1 das , así como ejercer las diversas facultades relacionadas con recolección, tratamiento y circulación de datos personales. A su vez, regula el derecho a la información en relación con información financiera, crediticia, comercial, de servicios y originada en otros países.
¿Quienes pueden obtener información de los bancos de datos? V Titulares de la información, las personas que estas autoricen o sus causahabientes. V Usuarios de la información dentro de los límites legales. V Autoridades judiciales con previa orden judicial. V Entidades públicas de la rama ejecutiva que requieran dicha información para el cumplimiento de sus funciones. V Órganos de control en desarrollo de investigaciones de carácter disciplinario, fiscal o administrativo. V Otros operadores de información siempre y cuando cuenten con autorización del titular de la información y tengan la misma finalidad.
Principios
E Veracidad o calidad: la información contenida en los bancos de datos o registros debe ser clara, real, completa, exacta, actualizada, comprobable y comprensible. No se podrán divulgar y registrar datos parciales o fraccionados que induzcan a errores.
E Favorecimiento a una actividad de interés público: la actividad de administración de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países está relacionada y favorece una actividad de interés público en la medida en que, entre otras cosas, aporte a la democratización del crédito, y promueva el desarrollo de la actividad crediticia y la confianza pública en el sistema financiero, así como la estabilidad del mismo.
E Finalidad: la administración de datos debe cumplir con una finalidad legítima acorde a la ley y a la Constitución. Dicha finalidad debe ser informada al titular de la informa2 ción antes o durante la autorización que le confiere a la fuente de información o en el momento que lo solicite.
de los derechos constitucionales, tales como el derecho al buen nombre, la honra, la intimidad y el derecho a la información.
E Seguridad: la información contenida en las bases de datos y las consultas que de estas hagan los usuarios, deberá ser manejada con medidas técnicas que garanticen la inalterabilidad de los registros, su inadulterabilidad o el uso no autorizado.
E Confidencialidad: las personas naturales o jurídicas que intervengan en la administración de datos personales, que no sean de carácter público, están obligadas a garantizar la reserva de la información, así ya no estén vinculados con este tipo de actividad.
E Circulación restringida: la administración de datos personales estará limitada por disposiciones legales y principios como temporalidad de la información y finalidad del banco de datos. A su vez, los datos no podrán ser accesibles por internet o por otros medios de comunicación masiva, excepto cuando se trate de datos públicos o sea posible controlar el acceso restringido a los titulares de la información o los usuarios autorizados.
1 Con exclusión de las bases de datos del Departamento Administrativo de Seguridad (DAS), destinadas a producir la inteligencia de Estado; las de la Fuerza Pública para garantizar la seguridad nacional interna y externa; los registros públicos que realizan las Cámaras de Comercio regulados por normas especiales, y los datos de carácter personal o doméstico que no son suministrados a otras personas naturales o jurídicas. 2 Los datos privados y privados requieren autorización del titular para su administración mientras los datos públicos no.
E Temporalidad: la información que deje de ser útil para la finalidad del banco de datos no podrá ser suministrada a usuarios y terceros.
E Interpretación integral: las normas sobre habeas data y los derechos de los titulares de la información, se interpretarán a la luz
3.
Derechos y deberes Deberes
Derechos de los titulares Frente a los operadores:
De los operadores:
) Ejercer el derecho al habeas data utilizando mecanismos como consultas, reclamos, solicitud de pruebas sobre autorizaciones, etc.
) Garantizar durante la recolección, tratamiento y circulación de datos, el efectivo ejercicio del derecho de hábeas data, petición y demás derechos consagrados en la ley.
) Solicitar protección a sus derechos como titular de los datos.
) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de las normas sobre habeas data.
) Solicitar información de los usuarios autorizados para obtener su información.
) Solicitar la correspondiente certificación a la fuente de la existencia de la autorización del titular para la administración de sus datos personales.
) Permitir el acceso a la información únicamente a las personas autorizadas para tener acceso a ella.
) Conservar de manera segura los registros almacenados e impedir su deterioro, pérdida, alteración y uso no autorizado. ) Realizar periódicamente una actualización y rectificación de los datos en registro. ) Tramitar las peticiones, consultas y reclamos formulados por los titulares de la información e indicar en cada registro individual qué información se encuentra en discusión por parte de su titular. ) Cumplir las decisiones de la autoridad de vigilancia. ) Poner la información a disposición de los usuarios.
Observatorio Legislativo del Instituto de Ciencia Política Boletín No. 96
•2
Deberes
Derechos de los titulares Frente a las fuentes de información:
De las fuentes de la información:
) Ejercer el derecho fundamental al habeas data.
) Garantizar que la información suministrada a los operadores y usuarios sea veraz, completa, actualizada y comprobable.
) Solicitar información y pedir actualización o rectificación de datos (que hará el operador con base en la información aportada por la fuente).
) Mantener información actualizada reportando mensualmente a los operadores de información los cambios en los datos suministrados. Lo anterior excluye a las agencias de información comercial.
) Solicitar prueba de la autorización para la administración de datos.
) Rectificar la información cuando sea incorrecta e informar a los operadores. ) Diseñar e implementar mecanismos de reporte oportuno y eficaz de información al operador. ) Solicitar y conservar la autorización del titular de la información para su administración, asegurarse de no suministrar datos que no han sido autorizados. ) Certificar semestralmente al operador, que la información suministrada cuenta con la autorización respectiva. Lo anterior excluye a las agencias de información comercial. ) Resolver los reclamos y peticiones que el titular interponga, informar al operador cuando cierta información este en discusión o se haya solicitado rectificación. ) Cumplir con las instrucciones de la autoridad de control.
Frente a los usuarios de información:
De los usuarios:
) Solicitar examen sobre la utilización que el usuario está dando a la información, en los casos en que ésta no fue proveída por el operador directamente.
) Mantener en reserva la información suministrada por los operadores, fuentes o titulares de la información, y utilizar dicha información exclusivamente para los fines que fue entregada.
) Solicitar prueba de la autorización.
) Informar sobre la actualización de información a los titulares cuando así lo soliciten. ) Conservar con la debida seguridad la información recibida e impedir su deterioro, pérdida, alteración y uso no autorizado o fraudulento. ) Cumplir con decisiones que adopten las autoridades de control.
Acudir ante la autoridad de vigilancia competente para: ) Presentar quejas contra las fuentes, operadores y usuarios de información por violación a las normas de administración de información financiera y crediticia. ) Solicitar que se ordene a un operador o fuente de información la corrección y/o actualización de datos personales.
4.
Operadores de banco de datos
5.
Fuentes de información
E Para su funcionamiento, los operadores de
E Las fuentes de información sólo podrán re-
información o bancos de datos podrán constituirse como sociedades comerciales, entidades corporativas y entidades con o sin ánimo de lucro.
portar a los operadores información negativa, relacionada con el incumplimiento de obligaciones de los titulares de la información, si previamente se le ha comunicado al titular dicha situación. Esto con el fin de que el titular pueda cumplir con la obligación, rectificar la información o controvertirla cuando no esté de acuerdo con aspectos como el monto, la fecha de exigibilidad, etc. veinte días después de notificado el titular de la información, la fuente podrá efectuar el reporte al operador de la base de datos.
E Adicionalmente deberán contar con un área dedicada al servicio del titular de la información que atienda las consultas, quejas y reclamos de los mismos, así como sistemas de seguridad que garanticen la conservación, no adulteración y uso exclusivamente autorizado de los datos que administra.
E Con el objetivo de mantener actualizada la información contenida en las bases de datos, los operadores tendrán diez días para actualizar la información una vez reportada por la fuente.
E La Superintendencia Financiera estará facultada para imponer sanciones a los usuarios de la información cuando nieguen solicitudes de crédito basados exclusivamente en el reporte de información negativa de quien lo solicita.
6.
Permanencia y contenido de la información
E Estará a cargo del gobierno nacional establecer la forma como los bancos de datos deberán presentar la información a los usuarios. Para esto se tendrá en cuenta la creación de formatos que permitan identificar aspectos como nombre del deudor, condición en que
actúa (principal, solidario, fiador, etc.), monto de la obligación, tiempo de mora y fecha del pago, etc.
E De acuerdo al proyecto de ley, la información positiva, tendrá una permanencia indefinida en los bancos de datos. A diferencia, la información negativa relacionada con mora en el cumplimiento de obligaciones, no podrán permanecer en los bancos de datos por más de cuatro años a partir de la fecha en que sea pagada la obligación. No será posible la administración de datos que sólo sean desfavorables para los titulares de la información.
7.
Acceso a la información
E Los usuarios autorizados podrán obtener información contenida en los bancos de datos, siempre y cuando dicha información vaya a ser utilizada como elemento de análisis para establecer, mantener y evaluar los riesgos de una relación contractual; hacer estudios de mercado; investigaciones comerciales o estadísticas, y adelantar tramites ante autoridades públicas o personas privadas donde dicha información sea pertinente.
8.
Peticiones, consultas y reclamos
E Una vez por mes los titulares de la información podrán consultar sus datos ante los operadores que los administran. Tanto las peticiones como las consultas pueden ser Observatorio Legislativo del Instituto de Ciencia Política Boletín No. 96
•3
solicitadas de forma verbal, escrita o por cualquier otro medio de comunicación que permita mantener evidencia de la misma y deberán ser atendidas en un plazo no superior a diez días hábiles a partir de su recibo. De no ser posible cumplir con este término, se deberá notificar al interesado exponiendo los motivos de la demora y señalando una fecha para resolver la petición, la cual no podrá superar los cinco días, una vez vencido el primer término.
E También se podrán interponer reclamos con el objeto de que se corrijan o se actualicen los datos personales que se encuentran en las bases de datos. Estos se interpondrán ante el operador de información de forma escrita, indicando el nombre e identificación del titular, describiendo los hechos que dan lugar a la reclamación y anexando los soportes que sean necesarios. Cuando la reclamación se haya hecho de manera incompleta, el operador avisará al titular para que este dentro del mes siguiente la corrija, de lo contrario, se entenderá desistida la reclamación.
E Una vez recibida la petición y durante los dos días siguientes, el operador deberá incluir en el registro individual del titular la frase "reclamo en trámite" y el motivo de la reclamación. Esta información permanecerá hasta que el reclamo se resuelva y deberá incluirse en toda la información que suministre a los usuarios. Las administradoras de bases de datos contarán con un plazo de 15 días para resolver el reclamo y ocho días cuando les resulte imposible resolverla durante el término inicial.
E Si una vez resuelta la petición el titular de la información no está conforme con la
respuesta obtenida, podrá acudir ante las autoridades judiciales correspondientes. Para esto, interpondrá una demanda contra la fuente de información para que se resuelva lo relacionado con el incumplimiento de la obligación reportada. Una vez iniciado el proceso judicial, esta información deberá ser incluida en el banco de datos en el registro individual del titular con la leyenda "información en discusión judicial".
9.
Control y vigilancia
E Estará a cargo de la Superintendencia de Industria y Comercio ejercer la función de control y vigilancia frente a las fuentes, operadores y usuarios de información, siempre y cuando no sean entidades sujetas a la vigilancia de la Superintendencia Financiera, caso en el que se regirán por el Estatuto Orgánico del Sistema Financiero.
E En ejercicio de las facultades como entidad de vigilancia y control la superintendencia correspondiente estará facultada para: 1. Dar directrices sobre la forma como se deben cumplir las normas de habeas data en relación con la administración de información, facilitar su cumplimiento y determinar procedimientos que permitan su aplicación. 2. Propender porque los operadores y fuentes tengan sistemas de seguridad con debidas condiciones técnicas que garanticen la confiabilidad y actualización de los registros y evitar así su adulteración, pérdida, consulta o uso no autorizado. 3. Ordenar la realización de auditorías externas a los operadores, fuentes y usuarios.
4. Ordenar de oficio o a petición de parte la corrección, actualización o retiro de datos personales cuando sea procedente. 5. Iniciar de oficio o a petición de parte investigaciones administrativas contra los operadores, fuentes y usuarios de información cuando exista posible incumplimiento de las normas sobre habeas data .
E Las superintendencias podrán imponer sanciones teniendo en cuenta criterios como dimensión del daño, peligro a los intereses jurídicos tutelados, reincidencia, entre otros. Estas medidas irán desde la suspensión de actividades por un periodo no superior a seis meses, cierre de operaciones del banco de datos y multas hasta por 1.500 salarios mínimos mensuales legales vigentes (smmlv).
E Una vez entrada en vigencia la ley, los operadores, fuentes y usuarios de información financiera y crediticia, tendrán un plazo de seis meses para adecuar su actividad a las normas sobre habeas data.
E Así mismo, los titulares de información que se encuentren al día con sus obligaciones y que hayan sido sujeto de información negativa por más de un año a partir del cumplimiento de la obligación, serán beneficiados con la expiración inmediata de dicha información. Sin embargo, cuando ya se ha cancelado la obligación pero aún no haya transcurrido un año desde el reporte de la información negativa, esta se mantendrá durante el tiempo que falte para completar un año. Cuando la obligación se pague durante los seis primeros meses de vigencia de las normas sobre habeas data, la información negativa se mantendrá por un año. En todos los casos se perderán estos beneficios cuando el titular de la información incurra en mora.
ABC del habeas data Agencia de Información Comercial: operadores y fuentes de información constituidos legalmente como empresas que tienen como actividad principal la recolección, validación y procesamiento de información comercial sobre las empresas y comerciantes. El suministro de información debe darse por solicitud directa de sus clientes. Dato personal: fracción de información que pueda asociarse con una persona natural o jurídica. Pueden ser privados (sólo es relevante para el titular del dato); semiprivados (no tiene un origen reservado e interesan no sólo a su titular –como los datos crediticios–) y públicos (contenidos en documentos públicos como el registro civil o sentencias judiciales no sometidas a reserva). Fuente de información: persona natural o jurídica que en razón a una relación comercial
o de servicio, recibe o conoce datos personales del titular de la información. A través de una autorización legal o directa del titular de la información, está facultado para suministrar estos datos a un operador de información que a su vez los entregará a un usuario final. Cuando la información sea suministrada directamente al usuario, tendrá la connotación de fuente y operador de información. Información financiera, crediticia, comercial, de servicios y proveniente de terceros países: aquella relacionada con el nacimiento, ejecución y extinción de obligaciones dinerarias, y con información relativa a las actividades propias del sector financiero, manejo y estados financieros del titular. Operador de información: persona natural o jurídica que recibe de la fuente de información, datos personales del titular de la misma para que los administre y ponga en
conocimiento de los usuarios que los requieran según los términos de ley. Aunque no es responsable de la calidad de los datos suministrados, dado que no tiene una relación económica o de servicio como si la tiene la fuente de información, debe garantizar la protección de los derechos del titular de los datos. Titular de la información: persona natural o jurídica titular de la información contenida en un banco de datos. Sujeto del derecho de habeas data. Usuario: toda persona que accede a información personal de uno o varios titulares de la información. Es suministrada por un operador, por la fuente o por el titular de la información directamente. Puede funcionar como usuario y fuente de información, cuando entregue la información a un nuevo operador.
Observatorio Legislativo - Instituto de Ciencia Política • Dirección general Marcela Prieto Botero • Coordinación general Nadya Aranguren Niño • Asistente de investigación Andrés Navas • Edición general Beatriz Torres • Redacción Nadya Aranguren Niño • Diagramación Victoria Eugenia Pérez
Mayores informes: Instituto de Ciencia Política. Calle 70 Nº 7A - 29, Bogotá D. C., Colombia. PBX: (571) 317 7979, Fax: 317 7989. Correo electrónico: observatoriolegislativo@icpcolombia.org Observatorio Legislativo del Instituto de Ciencia Política Boletín No. 96
•4